作者jamupme (james)
看板Bank_Service
標題Re: [情報] 上次是國泰、這次是台新
時間Tue Feb 9 22:40:49 2021
近期有些銀行用一次性簡訊綁定裝置的方式
只需要接受第一組OTP密碼 綁定後就可以用這台裝置自由轉帳
我推測以下是近期詐騙集團的手法
請各位小心防範
首先只要讓你進到假網站 一旦你輸入帳號密碼 幾乎就上鉤了
以下A是你在假網站的操作 B是犯罪集團的行動裝置操作
A:請你按接收驗證碼以完成更新/驗證/嘎啦嘎拉..(各種理由)
B:擷取你在假網站輸入的帳密 登入真的銀行APP
A:按下接收(發送)驗證碼
B:同步按下申請綁定裝置的發送驗證碼
此時真的簡訊驗證碼傳到你的手機上
A:在假網站輸入真驗證碼
B:同步得到真驗證碼=>綁定裝置=>開始轉錢
快的話可能3分鐘內就能轉到當日上限的金額
甚至最佳詐騙時機為接近跨日的時候 日期一轉換 馬上再轉一天的限額
當然...簡訊的連結我平常就死也不會點
但網路的連結要騙你進去的手法就很多元了...
詐騙集團只需要把你引導到"假網站" 就幾乎得手8成
因為只要你相信這個是"銀行"的網頁
網頁上要你做什麼你都會照做
請各位一定要多加注意
※ 引述《prussian (prussian)》之銘言:
: 幫忙宣導一下, 簡訊網址不要亂點啊
: 看來還會有好幾波,中國騙子真的很煩
: 以市佔來看接下來可能是中信? 郵局?
: (內政部警政署 165 全民防騙網)
: https://165.npa.gov.tw/#/article/rumor/80
: 上次是國泰、這次是台新
: 發佈日期:2021-02-05 20:05
: 更新日期:2021-02-05 20:11
: 上次是國泰、這次是台新
: 老手法亂槍打鳥
: 您可別誤點擊、也不要填輸任何資料
: 詐騙網址恐一直更新變動
: 請睜大眼睛 OO 勿上當
: https://165.npa.gov.tw/images/E81F7D49A09C7DA445E3FCCAA8329817.png
: https://165.npa.gov.tw/images/3525E3BC2799108DB4D75BF7FF81ABCA.png
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.230.229.47 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1612881651.A.9BF.html
推 temu2015: 所以簡訊要看清楚 看到OTP簡訊的每個字都要認真看 02/09 22:46
推 prussian: 如果不取消簡訊認證,至少要像約定帳戶一樣,隔天才生 02/09 22:47
→ prussian: 效並寄生效通知,這樣才有足夠時間反應 02/09 22:47
→ prussian: 簡訊內容隨便輸入什麼都可以又沒有驗證機制,要玩中間 02/09 22:47
→ prussian: 人攻擊太容易了 02/09 22:47
→ temu2015: 網站域名也是 簡訊裡的電話和網址都要先持保留態度 02/09 22:47
→ prussian: 無法驗證簡訊和網站來源的話就像原po講的,花言巧語騙 02/09 22:50
→ prussian: 你唬你嚇你去輸入otp,中間人攻擊都很容易 02/09 22:50
推 now99: 綁定信任機制有問題啊,金管會還不下架 02/09 23:05
→ now99: 短時間要改成 MobileID 或 AOTP 或 視訊簽章 比較難 02/09 23:06
推 banana321: 關閉非約定轉帳好了 02/09 23:09
※ 編輯: jamupme (125.230.229.47 臺灣), 02/09/2021 23:25:31
→ jamupme: 我認真考慮關閉主要帳戶的網路交易功能 留點零用金就好 02/09 23:29
→ minijin: 「超時」是大陸用語嗎?台灣通常都用逾時吧 02/09 23:57
推 HMKRL: 超時有點支語沒錯 02/10 00:03
→ HMKRL: 平常是用逾期或過期 02/10 00:04
推 whocare96: 銀行傳送的簡訊或郵件的連結絕對不要直接點擊 02/10 00:24
推 abccbaandy: 樓上,問題是銀行常這樣幹阿... 02/10 00:27
→ shengyong: 更改裝置需要otp email 安全密嗎(要求所有人要設) 02/10 00:33
推 TZUYIC: 擔心的話就複製貼上無痕式網頁點擊阿,看看在賣什麼藥~ 02/10 00:34
→ shengyong: 卡3關還笨到能丟 也不簡單,希望出3重4重5重認證 02/10 00:34
→ shengyong: 針對改裝置加強,應該就能卡很多了,按到釣魚也不怕 02/10 00:36
推 carolchiou: XD這樣沒遇到釣魚自己也不想用網銀了吧 02/10 00:47
推 vyvian: 我建議165應該建立一個詐騙網頁黑名單,用瀏覽器外掛的 02/10 01:00
→ vyvian: 方式發布出去,提供給民眾自己安裝。 02/10 01:01
→ vyvian: 如果民眾點到詐騙網頁就會自動擋掉。 02/10 01:01
→ vyvian: 類似Who's call的原理。 02/10 01:02
→ usedata: 說實在銀行放棄簡訊行銷就好了,讓銀行以後不要發簡訊,這 02/10 01:13
→ usedata: 樣自然而然讓人知道簡訊的都是詐騙,不過銀行不可能會放棄 02/10 01:15
→ usedata: 它們恨不得多點管道來行銷了怎麼可能捨棄 02/10 01:16
噓 lianpig5566: 不對吧 是要使用者懂得查證 怎麼變成要銀行不發簡訊 02/10 01:39
→ lianpig5566: 詐騙電話很多 你就叫政府、銀行不要打電話通知民眾? 02/10 01:40
→ lianpig5566: 行政文書也有偽造過的紀錄 以後都不要公文往來了? 02/10 01:40
→ prussian: 政府大多數時候都是寄信或email,沒有那個美國時間打電話 02/10 01:41
→ prussian: 你試試如何向2300萬人宣導注意網址1Il0O的差別? 02/10 01:42
→ flypenguin: 會被騙的怎麼會去裝外掛 XD 02/10 01:43
推 TZUYIC: 詐騙集團又不是這兩天才有,不應該因噎廢食,這樣事情都不 02/10 01:44
→ TZUYIC: 用做了。 02/10 01:45
→ prussian: 反詐騙不在最聰明的人懂不懂,而是要讓老嫗都能解 02/10 01:45
→ prussian: 如果一個機制很難分辨真假,改良也是必要的 02/10 01:45
→ prussian: 無法改良自然就是換招,不然後果誰要承擔? 02/10 01:46
→ prussian: 被騙的人自己笨所以不需要詐欺罪嗎? 這是兩回事 02/10 01:47
→ prussian: 宣導固然要作,機制可以改進的沒有理由不作 02/10 01:47
→ sydwuz: 把裝置綁定之類的驗證碼改成回撥語音告知,前面加個警語 02/10 01:47
→ prussian: 現在是卡在這個時間點尷尬,阻擋的需求先於介面友善 02/10 01:48
推 cytochrome: 被騙的回去裝盜版的外掛更慘 02/10 01:49
→ flypenguin: 如果被解除綁定的裝置會跳通知應該能第一時間發覺? 02/10 01:51
推 a08155556: 至少改成每筆轉帳都要OTP,不是綁定一次裝置以後隨便轉 02/10 02:14
→ ivanami: 如果已經被詐騙集團改成他門的電話,這樣每筆都OTP也無用 02/10 02:18
→ ayulovem: 會被騙的就是會被騙 因噎廢食 講再多會被說自私 02/10 03:02
推 whocare96: 目前otp 修改都要用晶片卡認證,沒那麼好改 02/10 03:13
→ usedata: 重點是銀行簡訊分不出來啊!跟電話顯示號碼可改,結果宣導 02/10 04:00
→ usedata: 半天詐騙還是居高不下,銀行簡訊號碼不時跳來跳去,有人厲 02/10 04:01
→ usedata: 害到可以事先分辯出真假嗎?又會有人說那不要去點就好,那 02/10 04:03
→ usedata: 不就跟現在提醒半天,銀行不會用什麼電話打來一樣,看看現 02/10 04:05
→ usedata: 在有多少成效就知道了,簡訊這種群發沒特定性辯別方式的才 02/10 04:07
→ usedata: 是最危險的,詐騙集團推成出新的詐騙不就是找各種弱點讓人 02/10 04:09
→ usedata: 人疏忽,這麼大的一個弱點不想改,人家不利用才怪 02/10 04:11
推 PAYPASS: 不長腦被收割也是剛好而已 02/10 04:24
推 jhay: 國外帳戶轉帳都要用photoTan 去掃碼 然後輸入產生碼才能轉 02/10 04:36
→ jhay: OTP實在太容易被中間人竊取了 02/10 04:36
→ jhay: 不過基本還是沒有警覺 怎麼樣的防護機制都會有人被騙 02/10 04:38
→ usedata: 銀行行銷用簡訊有多危險,除非不看不然留一下銀行字樣再 02/10 04:38
→ usedata: 留個模擬二可的活動文字附連結,這樣看很多人就會去點連 02/10 04:38
→ usedata: 結,說實在這種縮網址連結要作文章的方法太多了;連在ptt 02/10 04:38
→ usedata: 一些po圖連結不用.jpg結尾,自己一般也不太想點進去看了 02/10 04:38
→ usedata: 喔!尤其又寫類似分眾只有收到簡訊的才有,這種分眾活動 02/10 04:48
→ usedata: 一般都無法用搜尋找到,所以簡訊這次被詐騙集團利用,顯 02/10 04:48
→ usedata: 而易見遲早的事 02/10 04:48
推 orange21: 我覺得啦,以後換機就要回網銀或實體ATM取得裝置認證碼 02/10 07:30
→ orange21: ,認證再後才可以進行非約定交易,每次都被這些詐騙集 02/10 07:30
→ orange21: 團搞得很不方便 02/10 07:30
→ ali210: 這件事跟前陣子各家網銀app各種當機卡住有沒有關聯...? 02/10 07:43
→ peterkan: 銀行搞那麼久kyc了,還是一堆人頭帳戶 02/10 08:38
推 mx5021: otp有的有前幾碼是英文讓你確認是不是同一個操作動作 這 02/10 08:50
→ mx5021: 樣會比較安全嗎? 02/10 08:50
→ peterkan: 樓上依照台新受害人的案例,不會有比較安全。 02/10 08:58
推 whocare96: 現在很多手機otp 收到以後鍵盤都直接帶出數字,簡訊 02/10 09:05
→ whocare96: 內文有些人根本沒在看 02/10 09:05
推 akakapo: 銀行應該要了解到,簡訊OTP一點都不安全, 02/10 10:00
→ akakapo: 是時候要想其他更安全的驗證方式了 02/10 10:01
推 banana321: 真的otp我覺得沒有比較安全 02/10 10:06
推 siopp: 就把主要帳戶網路交易關掉就好了 02/10 10:08
推 banana321: 數位帳戶沒辦法線上關,似乎要打給客服 02/10 10:16
推 nightA: 為什麼opt不安全啊 02/10 10:42
→ nightA: 打錯 是otp 02/10 10:42
噓 tomap41017: 留言好多北七XDDDDDD 02/10 11:14
→ ericsg: OTP本身是安控機制 OTP是電信網路P2P安全得很 02/10 12:00
→ ericsg: 不安全的是使用者y 02/10 12:01
→ prussian: 傳輸安全和能不能確認對方身份是兩回事 02/10 12:02
→ akakapo: 當使用者讓手機變得不安全成為多數時呢? 02/10 12:04
→ ericsg: 講錯 企業簡訊應該是A2P 02/10 12:04
→ ericsg: 便利跟安全本來就是一體兩面 02/10 12:08
推 pio: 使用者自己的問題 跟印章被偷卻怪用印章不安全一樣 02/10 13:22
→ RJYB: 自己不小心、不思考,出事怪他人?!凡事都要停看聽,尤其 02/10 13:26
→ RJYB: 是遇到有關錢的事。 02/10 13:26
→ PAYPASS: 搞得各銀行廣發提醒mail、訊息、簡訊 這些人真的很棒 02/10 13:40
推 capacitor: 非約轉應該每次要有OTP!不是綁定裝置就可以無腦轉, 02/10 15:27
→ capacitor: 到底是誰發明這漏洞還沾沾自喜認為是新功能? 02/10 15:27
推 osk2: 在資安的世界裡,人就是最大的漏洞 02/10 15:32
推 now99: 綁定裝置為了省錢還有防止簡訊otp轉發,不過沒料到用簡訊ot 02/10 16:42
→ now99: p綁定就不安全了 02/10 16:42
推 keyman2: 可惜行動金鑰.保鏢.e碼這類型綁定驗證app沒落了 02/10 16:56
→ prussian: 除非可以將所有人提升到和你一樣聰明,隨時隨地思緒清 02/10 17:15
→ prussian: 晰,否則檢討受害人完全無用。防犯措施要考慮的是最糟 02/10 17:15
→ prussian: 情況。更何況誰敢打包票自己遇到時百分之百不會被騙? 02/10 17:15
→ usedata: 隨便翻一下就能找到一封永豐的簡訊做舉例,用永豐自己官 02/10 20:02
→ usedata: 網提醒公告都不會列出自己銀行會有的所有網址了,這封簡 02/10 20:02
→ usedata: 訊自己警惕心高點還會去搜尋開頭網址確定是永豐繳費網的 02/10 20:02
→ usedata: 沒錯,但如果銀行放短網址的話又有誰可以分辨,所以才會 02/10 20:02
→ usedata: 說銀行簡訊根本不該放網址連結,一些銀行自己一直以來放 02/10 20:02
→ usedata: 連結讓人習慣了,所以人收到有連結的簡訊又無法辨別是假 02/10 20:02
→ usedata: 的,難免會有人大意之下直接去點,這樣假借銀行的行銷簡 02/10 20:02
→ usedata: 訊會不危險嗎?? 02/10 20:02
→ wawa69: 手法層出不窮,不愁魚兒不上鉤 02/11 00:03
→ wawa69: 被騙匯款到國外,用到爛的招還是有人會中 02/11 00:04
推 aspeter: 這個otp漏洞蠻強的,一般人會覺得otp很安全,就去輸入帳密 02/11 01:47
→ paimin: 綁裝置比純OTP還安全好嗎?手機被木馬側錄opt每次發也是 02/12 08:01
→ paimin: 直接被轉光光 綁裝置才擋得住 只是太低估白癡使用者 會用 02/12 08:01
→ paimin: 網銀的人竟然被釣魚網站騙走帳密而且還會被騙第二次的opt 02/12 08:01
→ prussian: 這次出問題的是「綁定」的步驟,安全性而言和純OTP一樣 02/12 09:56
推 ah11851152n: 詐騙簡訊1月就有了 沒有收到詐騙簡訊 反而收到一堆銀 02/13 02:08
→ ah11851152n: 行反詐騙訊息 02/13 02:09